Ataki na portfele kryptowalut to nadal rosnący problem w ekosystemie walut cyfrowych. W grudniu 2018 roku opisywaliśmy, iż grupa hakerów zaatakowała bitcoinowy portfel Electrum, za pomocą metody tzw phishingu. Zgodnie z najnowszym raportem firmy Malwarebytes, ilość skradzionych funduszy wzrosła do 4,6 mln dolarów, a botnet, który zalewa infrastrukturę Electrum, szybko rośnie w liczbach zainfekowanych komputerów – ponad 150 000.
Cały atak polegał wówczas na sfałszowaniu oficjalnej platformy Electrum, aby użytkownicy pobrali złośliwą aktualizację, która wymuszała kod autoryzacyjny uwierzytelniania wielopoziomowego (2FA). Jak oszacowano w grudniu, użytkownicy stracili ponad 240 BTC, co stanowiło wówczas ekwiwalent 850 000 dolarów. Warto podkreślić, iż Electrum to jeden z najpopularniejszych portfeli bitcoinowych, a dzięki swojej długiej historii i popularności, zyskał zaufanie wielu użytkowników. Niestety poprzez niewielkie luki bezpieczeństwa, portfel stracił ogromną ilość stałych użytkowników.
Zaledwie tydzień temu, liczba zainfekowanych komputerów w botnecie wynosiła nieco poniżej 100 000, a następnego dnia liczba ta osiągnęła poziom 152 000 zainfekowanych urządzeń. Jak informowaliśmy pod koniec grudnia, hakerzy utworzyli własne serwery Electrum, na których umieszczono zainfekowane wersje portfela, aby zrealizować włamanie. Po tym, jak użytkownicy zsynchronizowali swój portfel Electrum ze szkodliwym serwerem, mieli za zadanie zaktualizować portfel za pomocą zhakowanej wersji, co ostatecznie prowadziło do utracenia wszystkich ich funduszy.
„Analizując adresy IP i mapując je do kraju, jesteśmy w stanie lepiej zrozumieć, gdzie znajdują się boty. Największą koncentrację możemy zauważyć w regionie Azji i Pacyfiku (APAC). W obu Amerykach większość botów znajduje się w Brazylii i Peru. Użytkownicy zainfekowanych komputerów mogą doświadczyć spowolnienia prędkości Internetu, gdyż włączono ich do botnetu, który wykonuje ataki DDoS.” – czytamy w raporcie Malwarebytes
Poniżej znajdują się adresy IP, sklasyfikowane jako uczestnicy botnetu.
Jak działa metoda phishingu?
Po udanym włamaniu do sieci lokalnej hakerzy przeglądają sieć, aby znaleźć stacje robocze i serwery używane do pracy z prywatnymi portfelami. Ponadto, kradzież kryptowalut jest znacznie łatwiejsza do ukrycia. Tego typu ataki, oparte o przekierowanie serwerów DNS to stara, ale dalej skuteczna technika do uzyskania dostępu przez hakerów. Po otrzymaniu wiadomości o atakach, zespół Electrum od razu przystąpił do działania, aktualizując aplikację portfela. Jak to bywa w przypadku takich afer, problem wynikał z luki bezpieczeństwa, którą wykorzystali hakerzy.
Czy korzystaliście z portfela Electrum? Co o tym wszystkim sądzicie? Zapraszamy do dyskusji!